Ciao Davide, risposta breve: ni... e /dipende/.
"D. Davide Lamanna" <[email protected]> writes: > https://www.tomshw.it/hardware/disinstallate-il-prima-possibile-audacity-e-un-potenziale-spyware/?amp [...] > Nonostante sia un programma desktop, vogliono sfruttarlo per raccogliere > alcuni dati presi dai dispositivi degli utenti. Come sai la telemetria, è inserita in molti programmi anche liberi e la motivazione degli sviluppatori nell'applicarla è quella di raccogliere dati di utilizzo o informazioni per il debug in caso di crash del programma. Per fare un esempio, Debian ha il software popularity-contest [1]: --8<---------------cut here---------------start------------->8--- configura cron in modo che periodicamente e in forma anonima invii agli sviluppatori Debian delle statistiche sui pacchetti più usati sul proprio sistema --8<---------------cut here---------------end--------------->8--- (anonimo via Internet è IMPOSSIBILE a meno di usare roba tipo Tor, OK?) Ovviamente partecipare al popcon è opt-in: se non ricordo male [2] l'installer di Debian chiede se l'utente vuole installare in pacchetto... e se il pacchetto non è installato niente telemetria. La posizione ufficiale di GNU [3] è che per essere incluso in una distribuzione GNU FSDG compliant [4]: --8<---------------cut here---------------start------------->8--- "No Malware The distro must contain no DRM, no back doors, and no spyware." --8<---------------cut here---------------end--------------->8--- Naturalmente dipende dalla interpretazione di cos'è "spyware", comunque è posizione abbastanza condivisa nella comunità FLOSS che _tutta_ la telemetria deve essere disabilitata di default (opt-in) o eliminata del tutto (tramite patch) nel caso non fosse possibile disabilitarla. ...insomma tutto il contrario rispetto a VORAGINI di privacy come /ogni/ app proprietaria installata sui telefonini, il 99% del software proprietario (un nome a caso: Google Chrome) oppure software libero come chromium o l'editor MS VScode . Recentemente in Guix ci sono state un paio di discussioni proprio in merito alla telemetria di Audacity: https://yhetil.org/guix-devel/[email protected]/ e di kitty (un emulatore di terminale): https://yhetil.org/guix-devel/[email protected]/ che sostanzialmente confermano che nei pacchetti inclusi in GNU: --8<---------------cut here---------------start------------->8--- This is not a point of discussion. Telemetry or ‘phoning home’ for updates must be opt-in if possible or disabled entirely otherwise. Would you care to submit a patch? --8<---------------cut here---------------end--------------->8--- Credo che criteri del tutto analoghi siano definiti per molte (tutte?) distribuzioni come Debian, Fedora, Ubuntu... ma non sono abbastanza esperto di quelle organizzazioni per trovare riferimenti precisi nei documenti, per esempio nel Debian Social Contract [5] o nelle Debian Developer's Reference [6]. ...però sono quasi sicuro che (anche) in Debian è uso disabilitare la telemetria di default o applicare patch per eliminarla del tutto. Insomma, tutto questo panegirico per dire che non c'è bisogno di correre a disinstallare Audacity (o kitty, o altri) ma "solo" di affidarsi a una distribuzione di cui ci si può fidare perché applica dei criteri sani, trasparenti e verificabili per evitare che nei binari che scarichiamo sia inclusa di default la telemetria. > La pagina dell’informativa sulla privacy aggiornata (caricata 3 giorni > fa) per Audacity include un’ampia gamma di meccanismi di raccolta. > > "Tutti i tuoi dati personali sono archiviati sui nostri server nello > Spazio economico europeo (SEE). Tuttavia, occasionalmente ci viene > richiesto di condividere i tuoi dati personali con la nostra sede > principale in Russia e il nostro consulente esterno negli Stati Uniti." > > Inoltre, affermano che potrebbero condividere i dati con chiunque > classificano come “terze parti”, “consulenti” o “potenziali acquirenti”: Giuste preoccupazioni e infatti io non attiverei la telemetria nemmeno se mi pagassero: per contribuire al miglioramento dei pacchetti ho imparato a usare i bug report, cosa che potrebbero fare tutti gli utenti anche senza telemetria; per l'aggiornamento dei pacchetti invece mi affido anima e corpo alla distribuzione che uso :-D In merito ad Audacity voglio solo aggiungere: 1. i termini di licenza sono così problematici che lo Head of Strategy @ Muse Group ha dovuto pubblicare dei chiarimenti poche ore fa: https://github.com/audacity/audacity/discussions/1225 (non ho ancora letto tutto il thread, alcuni conro-commenti paiono interessnati) 2. pare che l'unica attività opt-out di telemetria sia la verifica di un feed RSS che pubblica le notizie in merito agli aggiornamenti, i dati raccolti sono: indirizzo IP e "User Agent" (cioè la versione di Audacity e il SO). Ovviamente sono le stesse info che chiunque di noi trasmette quando scarica un feed RSS o consulta una pagina web (senza contare autenticazione e javascript vari!), ma giustamente Audacity NON deve farlo in automatico. Il punto 2 è quello veramente problematico e del quale i maintainer delle distribuzioni devono occuparsi, rendendo ANCHE quella telemetria opzionale. DULCIS IN FUNDO: udite udite, Audacity è GNU GPL v2+ e quando le cose si mettono davvero male... un fork è l'unica soluzione, ma SOLO dopo aver attentamente valutato che non è possibile ricomporre la controversia, mi raccomando; tipo MaraDB con MySQL o LibreOffice con OpenOffice :-D Saluti, 380°. [1] https://packages.debian.org/buster/popularity-contest [2] l'ultima installazione di Debian via installer devo averla fatta qualcosa come 12 anni fa... [3] https://www.gnu.org/distros/free-system-distribution-guidelines.html#no-malware [4] https://www.gnu.org/distros/free-distros.html [5] https://www.debian.org/social_contract [6] https://www.debian.org/doc/manuals/developers-reference/index.en.html P.S.: ovviamente la cosa dovrebbe preoccupare solo gli utenti che utilizzano software libero su distribuzioni fidate (Debian, GNU, ecc.) perché chi usa sistemi operativi proprietari oppure binari (anche di software libero) presi "a caso" deve presumere che è praticamente sicuro che telemetria (spyware?) o altro praticamente ci sono. -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
_______________________________________________ nexa mailing list [email protected] https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
